14-09-2010, 05:35 PM
Les gens ne gardent pas les mots de passes générés : la première chose qu'ils vont faire : en définir un nouveau.
Et puis ta technique a une faille majeure : si je vais sur la page d'oubli de mot de passe et que je rentre ton email, le site va modifier le tiens et te l'envoyer par mail : ça va t'agacer car tu ne l'auras pas sollicité (et imagine que je m'amuse à faire ça tous les jours ou que je crée un bot pour le faire). Donc la solution n'est pas bonne.
Avec ma technique, au pire des cas tu reçois un email que tu peux ignorer. Et bien sûr, le lien vers la page de saisie du nouveau mot de passe utilise un token à usage unique généré pour l'occasion afin qu'un autre utilisateur ne puisse pas voler le compte.
Sephi-Chan
Et puis ta technique a une faille majeure : si je vais sur la page d'oubli de mot de passe et que je rentre ton email, le site va modifier le tiens et te l'envoyer par mail : ça va t'agacer car tu ne l'auras pas sollicité (et imagine que je m'amuse à faire ça tous les jours ou que je crée un bot pour le faire). Donc la solution n'est pas bonne.
Avec ma technique, au pire des cas tu reçois un email que tu peux ignorer. Et bien sûr, le lien vers la page de saisie du nouveau mot de passe utilise un token à usage unique généré pour l'occasion afin qu'un autre utilisateur ne puisse pas voler le compte.
Sephi-Chan